mirror of https://github.com/istio/istio.io.git
2.3 KiB
2.3 KiB
| title | subtitle | description | cves | cvss | vector | releases | publishdate | keywords | skip_seealso | |||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ISTIO-SECURITY-2020-008 | 安全公告 | 通配符 DNS 使用者主机名称的验证不正确。 |
|
6.6 | AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:L/A:N/E:F/RL:O/RC:C |
|
2020-07-09 |
|
true |
{{< security_bulletin >}}
Istio 容易受到新发现漏洞的攻击:
CVE-2020-15104: 当验证 TLS 证书时,Envoy 错误地允许将通配符 DNS 使用者主机名称应用于多个子域。例如,在 SAN 为*.example.com通配的情况下,Envoy 错误地允许使用nested.subdomain.example.com,而它只允许使用subdomain.example.com。- CVSS Score: 6.6 AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:L/A:N/E:F/RL:O/RC:C
Istio 用户通过以下方式暴露此漏洞:
-
通过 Envoy 筛选器直接使用 Envoy 的
verify_subject_alt_name和match_subject_alt_names配置。 -
使用Istio 的
subjectAltNames字段在目标规则与客户端 TLS 设置。具有包含nested.subdomain.example.com的subjectAltNames字段的目标规则错误地接受来自主机名称(SAN)为*.example.com的上游层证书。 相反,应该存在一个*.subdomain.example.com或nested.subdomain.example.com的 SAN。 -
使用 Istio 的服务条目中的
subjectAltNames。带有subjectAltNames字段的值类似于nested.subdomain.example.com的服务条目错误地接受来自 SAN 为*.example.com的上游层证书。
Istio CA(以前称为 Citadel)不使用 DNS 通配符 SAN 颁发证书。 该漏洞仅影响验证外部颁发证书的配置。
防范
- 对于 1.5.x deployments: 部署: 请升级至 Istio 1.5.8 或更高的版本。
- 对于 1.6.x deployments: 部署: 请升级至 Istio 1.6.5 或更高的版本。
{{< boilerplate "security-vulnerability" >}}